блю скрин и iexplore.exe

Printable View

08.12.2007, 23:13
getman

блю скрин и iexplore.exe

ваще я юзер еще тот, так что просьба не судить строго и не гнать беса, а просто помочь, спасибо!
сидел тихо мирно в инете и вот что происходит, блю скрин на мгновение и перезагрузка, по загрузке винды, выскакивает сообщение о том что произошла критическая ошибка винды с такими надписями в отчете
BCCode: 100000d1 BCP1: 0000001F BCP2: 000000002 BCP3: 00000000000
BCP4: F8C9AA5F OSVer: 5_1_2600 SP:2_0 Product: 256_1

поставил себе нод с свежими базами, просканил троянов ведро удалил, но проблема осталась, как только начинаю юзать инет, выскакиев окно и ребут....

а еще злостный iexplore.exe не пропадает с процессов и грузит комп страшно....
выручайте
08.12.2007, 23:14
rubin

Добро пожаловать на форум!
[url]http://virusinfo.info/showthread.php?t=1235[/url]
09.12.2007, 01:52
getman

Вложений: 3

и еще... после всех проверок и нодом и авз, все равно нод каждый раз когда захожу в инет начинает вот что орать....
....locals\temp\269062.exe каждый раз новое название
threat:
Win32/Agent.NNK trojan
Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\IEXPLORE.EXE. The file was moved to quarantine. You may close this window.
09.12.2007, 02:04
pig

[quote=getman]нод каждый раз когда захожу в инет начинает вот что орать....
....locals\temp\269062.exe каждый раз новое название[/quote]
Неудивительно. Потому как:
[quote]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/quote]
Через дыру в системе запихивают. Файрвол поставьте, что ли. А лучше также SP2 и сотню заплаток после того.
09.12.2007, 02:10
V_Bond

пофиксите ...
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\system32\svchоst.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\a rm32.dll
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\svchоst.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
BC_DeleteSvc('ctl_w32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
09.12.2007, 02:49
getman

Вложений: 3

ну что же, ребята....
НОД молчит, iexplore.exe в процесах нету, по ходу ПОБЕДА! ))
:DСпасибо!;)
09.12.2007, 03:06
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/code]
Перезагрузитесь и повторите лог HijackThis.
09.12.2007, 03:27
getman

Вложений: 1

сделано...
09.12.2007, 03:28
Alex Plutoff

-[b]reset5[/b] ...это кажись, то самое без чего крак винд не запустится, так что повторных логов можно и не дождаться ;)
09.12.2007, 03:38
getman

спасибо, вовремя ))))
как его востановить?! )))
09.12.2007, 03:39
Alex Plutoff

-для крака Win XP SP2 [b]reset5[/b] уже не актуален, потому и обошлось :)
...а лог чистый
09.12.2007, 03:41
getman

спасибо вам.... буду ложиться спатки и вам рекомендую!
С-П-А-С-И-Б-О
09.12.2007, 03:51
Alex Plutoff

-для восстановления предусмотрено в HijackThis v2.0.2 секция Other stuff кнопка Config кнопка Bfckups отметьте в списке все что желаете восстановить и кнопка Restore ...но прежде чем что-то восстановить, равно как и удалить, нужно четко предсталять что это такое и нужно ли оно в ОС